一场名为“SlopAds”的大规模Android广告欺诈行动被挫败——Google Play商店中的224款恶意应用每日产生23亿次广告请求。
该欺诈活动由HUMAN的Satori威胁情报团队发现,这些应用累计下载量超3800万次,并通过混淆和隐写术隐藏恶意行为,以规避谷歌和安全工具的检测。活动波及全球228个国家,每日广告竞价请求达23亿次,其中广告曝光量最高的地区为美国(30%)、印度(10%)和巴西(7%)。
HUMAN解释:“研究人员将此行动命名为‘SlopAds’,因其关联应用看似‘AI粗制滥造’的量产产品,同时暗指威胁 actors 控制服务器上托管的一系列AI主题应用和服务。”
SlopAds广告欺诈活动细节
该欺诈活动采用多层规避策略,以绕过谷歌应用审核流程和安全软件检测:
若用户通过Play商店自然安装SlopAds应用(非通过攻击者广告渠道),应用会表现为正常功能软件,执行宣传的功能。
但如果检测到用户是通过攻击者广告点击安装,应用会利用Firebase Remote Config下载加密配置文件,内含广告欺诈模块、变现服务器的URL及JavaScript载荷。
随后,应用会判断自身是否运行在真实用户设备上(而非研究人员或安全软件的分析环境)。通过检测后,它会下载4个含隐写术的PNG图像,其中隐藏恶意APK的碎片——这些碎片在设备上解密重组后,形成完整的“FatModule”恶意软件,用于实施广告欺诈。
欺诈执行:隐藏WebView与虚假流量
FatModule激活后,会通过隐藏WebView收集设备和浏览器信息,随后导航至攻击者控制的欺诈变现域名。这些域名伪装成游戏或新闻网站,通过隐藏WebView界面持续加载广告,每日产生超20亿次欺诈性广告曝光和点击,为攻击者创造收益。
基础设施与后续威胁
HUMAN指出,该活动基础设施包含多个命令与控制服务器及300多个相关推广域名,表明威胁 actors 计划在224款已识别应用之外进一步扩张。
谷歌已从Play商店下架所有已知SlopAds应用,Android的Google Play Protect也已更新,提示用户卸载设备上的残留应用。但HUMAN警告,此类广告欺诈活动的复杂性意味着攻击者可能调整策略,在未来发起新一轮攻击。
发表评论
您还未登录,请先登录。
登录